Overheidsdiensten mogen onder voorwaarden publieke clouddiensten gebruiken. Dat geldt niet voor het ministerie van Defensie. Ook informatie die is aangemerkt als staatsgeheim mag niet worden gedeeld of opgeslagen in de cloud.
Dat blijkt uit het nieuwe Rijksbrede cloudbeleid 2022, waarover staatssecretaris Van Huffelen (BZK) de Tweede Kamer heeft geïnformeerd. In het eerdere beleid uit 2011 werd nog gestreefd naar gebruik van private clouddiensten. Volgens Van Huffelen biedt het gebruik van publieke clouddiensten voordelen, maar zijn er ook risico’s aan verbonden.
De verwerking van persoonsgegevens in publieke clouddiensten vergt een goedgekeurde pre-scan gegevens-beschermingseffectbeoordeling (pre-scan DPIA). Bij hoog risico wordt een volledige data protection impact assessment (formele DPIA) uitgevoerd, waarin zowel de verwerking zelf als de geldende grondslagen, de aard van de verwerking en de bijbehorende risico’s en maatregelen zijn beschreven. Dit geldt ook bij verwerking van gegevens in een publieke cloud.
Elk departement is zelf verantwoordelijk om de relevante risico’s van het gebruik maken van een publieke cloud toepassing in beeld te hebben en tijdens het gebruik in beeld te houden. Op basis van deze risicoafweging kan de betreffende minister voor tot en met departementaal vertrouwelijk gerubriceerde informatie besluiten tot gebruik van de publieke cloud.
Voor die risicoafweging zal door de CIO Rijk met de departementale CIO’s voor het einde van 2022 een ‘implementatierichtlijn risicoafweging cloudgebruik’ worden opgesteld, mede op basis van de Baseline Informatiebeveiliging Overheid. Hiermee kan de departementale CIO-office bij gebruik van een clouddienst desgevraagd aan CIO Rijk een gegevensbeschermingseffectbeoordeling met daarin een samenhangende risicoanalyse overhandigen.